È normale concedere all'amministratore "utenti" l'accesso al proprio PC aziendale?

13

Ho un utente che vuole essere un amministratore del suo PC di lavoro, ha inventato una storia su come non può funzionare senza di essa, quindi mi viene detto di "ripararlo" (come se fosse un errore a cui ha effettuato l'accesso come un utente!).

Io e i miei colleghi IT non accediamo come amministratori a causa di virus / malware che si bloccano e si configurano come server per distribuire un attacco (sì, è successo in passato).

Qual è la "norma" per gli utenti della tua rete e come gestisci le richieste di accesso come amministratore?

Grazie

permissions 
Phillipe B
fonte
3
Se ti opponi a concedergli i diritti di amministratore, è tua responsabilità assicurarti che abbia tutti i permessi granulari e l'accesso abilitati in anticipo in modo che non incontrino blocchi stradali in un unico modo. Questo è molto difficile da prevedere in un sistema Windows, data la complessità del software di oggi. Ad esempio, potrebbero riscontrare comportamenti strani in un'applicazione e, dopo una giornata di risoluzione dei problemi, scoprire che l'applicazione non è riuscita a leggere silenziosamente alcune impostazioni del Registro di sistema a cui l'utente non aveva accesso.
AaronLS

Risposte:

12

Al momento abbiamo tre livelli di supporto per gli utenti:

  1. Supporto totale. Gli utenti hanno solo l'accesso di base e un set standard di applicazioni
  2. Supporto limitato Eseguiamo il patching centrale del sistema operativo e forniamo applicazioni. L'utente ha accesso come root.
  3. Nessun supporto. Forniamo all'utente una connessione Internet. L'utente si assume la responsabilità del computer, inclusi software e patch. Monitoriamo la rete per rilevare eventuali problemi e escludiamo l'utente in caso di problemi.

In questo modo gli utenti possono scegliere ciò che desiderano e ridurre al minimo l'impatto, sia per il personale IT che per gli utenti. Abbiamo riscontrato che gli utenti possono essere certi di scegliere un livello di supporto adeguato. Ho la sensazione che bloccare gli utenti per impostazione predefinita sia molto costoso in termini di produttività.

pehrs
fonte
1
+1 Mi piace e potrei provarlo sul mio lavoro.
Nic
4
Sebbene sia un approccio interessante e meritevole di considerazione, con i sistemi operativi a rischio malware, è molto probabile che ciò consenta la perpetuazione di worm come malware in tutta la rete interna. Per eliminare questo rischio, le opzioni 2 e 3 non possono includere l'accesso interno illimitato alla rete.
Warner
2
Penso che questo sia un approccio eccellente. Le persone con PC sui loro banchi sono generalmente "knowledge worker" (KW), e di solito è meglio lasciare a KW le proprie decisioni tecnologiche personali. Negli anni '80, l'IT era ancora chiamato "Elaborazione dei dati" ed erano responsabili solo dei grandi terminali di ferro e muti. Sono stati i KW a portare i propri PC che hanno costretto i reparti di elaborazione dati a concentrarsi ovunque sul supporto dei PC e passare a un modello client-server e alla fine rinominarsi "IT". Lascia che i tuoi KW decidano da soli quanto tengono in mano.
Spiff
@Warner, dove lavoro, la maggior parte delle persone non utilizza sistemi operativi inclini al malware e optano per il n. 3 e ottengono un accesso interno senza restrizioni alla rete. Le persone che desiderano utilizzare sistemi operativi a rischio malware sono costrette a spostarsi verso il numero 2 o il numero 1 e sono costrette a utilizzare solo indirizzi IP statici registrati per le proprie caselle soggette a malware, in modo che l'IT scansiona più facilmente le loro porte o il traffico di rete alla ricerca di attività malware, e rintracciare l'utente colpevole più facilmente.
Spiff
Le condizioni sono fondamentali. Non potevi convincermi che dare assistenza ai clienti accesso illimitato alle loro workstation Windows sulla rete interna sarebbe una buona idea, pur mantenendo un ragionevole livello di servizio per l'utente finale. Introdurrebbe un grave rischio per la sicurezza tra l'impossibilità di mantenere standard, aggiornamenti e i privilegi aggiuntivi che consentono al malware di funzionare gratuitamente senza restrizioni. Mi piace l'idea di 3, poiché concentro la mia carriera su tecnologie Internet e soluzioni di alto livello, non su tecnologie di tipo supporto intranet.
Warner
5

I miei due centesimi :

1 / I diritti di amministratore sono BAD. E il malware non è l'unico motivo per cui. Un altro problema, e spesso più grande, è che molti utenti aggiungeranno applicazioni che non sai come supportare o che verranno interrotte nel tempo. Risultato? Tre o quattro anni come questo, e finisci per piangere perché per qualche ragione un processo critico per l'azienda viene gestito usando un'app che nessuno conosce, o che è stata sviluppata da un amico del ragazzo che ha lasciato l'azienda, o qualunque altra cosa. Ad esempio, ho un cliente che ha sviluppato una GRANDE -e MOLTO UTILE- app con Lotus 1-2-3. Una versione molto vecchia. Che non funziona su nessun sistema operativo successivo di ... Windows 98. E il ragazzo che ha fatto questo ha lasciato la società. Vedi il problema?

2 / Se QUALUNQUE NON dovrebbe avere i diritti di amministratore, sono gli sviluppatori . Perché se sono amministratori, non faranno NESSUNO sforzo per scrivere il loro software rispettando le linee guida di codifica. E finiranno per scrivere app per le quali occorre eseguire i diritti di amministratore. Che è male.

Sono un amministratore di sistema e sto eseguendo SENZA diritti di amministratore (nemmeno l'amministratore locale del mio computer). Quando ne ho bisogno, li afferro, per il tempo del mio compito di amministratore. Questo è il mio salvavita. Posso fare errori ... E gli errori con i diritti di amministratore possono essere terribili.

Cambio vita !!!!
Saariko,
4

Può esserci una giustificazione aziendale per un utente finale di avere privilegi più elevati. Spesso, sarà dettato dalla cultura della tua azienda.

La migliore politica IT consiste nell'impostare i privilegi minimi necessari per eseguire una funzione di lavoro. Se esiste una giustificazione e non esistono soluzioni tecniche per il mantenimento di privilegi minori, esiste quindi una giustificazione aziendale per l'accesso aggiuntivo.

Alcune società tecniche scelgono di concedere a tutti gli utenti l'accesso come amministratore locale. Altri, solo personale tecnico.

Nel mio dipartimento: senza giustificazione, non ottengono l'accesso. Per quanto riguarda l'accesso dell'amministratore locale della workstation: gli utenti tecnici generalmente lo ottengono. Se presentano rischi per l'azienda, possono essere rivalutati su base individuale. L'impiegato medio non tecnico non lo fa. Non abbiamo mai avuto incidenti con malware di alcun significato ma gestiamo una nave molto stretta in generale.

Oggi ho anche risposto a una domanda , relativa alla tua domanda qui. Comprende alcuni dei principi fondamentali associati alla politica e alla procedura di controllo dell'accesso.

Ammonitore
fonte
4

No, No, No, No, No!

Nessun computer con un utente con diritti di amministratore dovrebbe mai accedere alla tua rete. Certamente nessun computer di proprietà dell'azienda dovrebbe avere i diritti di amministratore dell'utente:

Non odio gli utenti, ma un reparto IT non può fare il suo lavoro in modo efficace se devono costantemente risolvere i problemi del computer autoinflitti.

Perché mai gli utenti (sviluppatori, se li hai, esclusi) dovrebbero avere accesso come amministratore.

Per installare applicazioni?

Dedichiamo molto tempo e fatica a testare le applicazioni per la compatibilità, quindi standardizziamo su una versione particolare. Manteniamo le informazioni sulla licenza e accettiamo di supportare qualunque cosa installiamo.

Per eseguire app che richiedono l'accesso come amministratore?

Ehi, non eseguiamo più Windows 98. Non riesco a ricordare un'app aziendale standard che richiede diritti di amministratore. Se lo facessimo, non lo permetteremmo in primo luogo.

Aggiornamenti?

Ecco a cosa serve WSUS / ASUS. La maggior parte degli utenti non ha bisogno degli ultimi driver della scheda grafica, non è un giocatore!

Cosa succederebbe se [inserire motivo qui] dovesse funzionare come amministratore?

Quindi sono totalmente separati dal resto della rete, possibilmente se ce ne fossero abbastanza, nel proprio dominio. Soprattutto gestiamo le loro aspettative - lo rompi, lo risolvi - non si applicano i normali tempi di risoluzione SLA.

Esistono molti casi limite, ma miriamo a gestire il nostro dipartimento, quindi nessun utente dovrebbe mai avere bisogno dell'accesso di amministratore o addirittura richiederlo. Se i tuoi utenti dispongono dei diritti di amministratore, allora non controlli la tua "rete", non una situazione in cui vorrei mai trovarmi.

Jon Rhoades
fonte
2
È bene sottolineare che il tipo di utente (e quindi il tipo di organizzazione) è un fattore decisivo. La mia esperienza è quella di fare amministrazione per i negozi di sviluppo software, ma chiaramente i requisiti altrove possono e differire.
Charles Duffy,
@Charles Duffy - Sono d'accordo che gli sviluppatori cambiano tutto, ne abbiamo solo uno ed è anche un membro del team IT, quindi non ci sono problemi.
Jon Rhoades,
2

In genere, dove ho lavorato, gli sviluppatori di software hanno avuto accesso come amministratore e generalmente nessun altro.

In un posto in cui ho contratto, avevano una buona idea. Per ottenere l'accesso come amministratore, ho dovuto leggere e firmare un modulo accettando che, se mai avessi dovuto chiamare l'IT per problemi del computer, o se qualcun altro avesse notato problemi sul mio computer, l'IT avrebbe provato a risolverlo per quindici minuti e poi cancellare e ri-immagine.

David Thornley
fonte
1

Come puoi vedere dalle risposte precedenti, non esiste una norma per questo. Vi è tuttavia la Regola d'oro dei minimi privilegi. Ciò significa semplicemente che l'utente dovrebbe disporre dei diritti di accesso minimi richiesti per svolgere il proprio lavoro. È un peccato che, specialmente nel mondo Windows, ciò significhi che alcuni utenti (es. Programmatori) richiedono diritti di amministratore completi.

Ti suggerisco di chiedere all'utente in questione di documentare ciò che non è in grado di fare come utente e vedere se il problema può essere risolto con qualcosa di meno dei diritti di amministratore completi. Se non sono in grado o non sono disposti a documentare i problemi, è possibile che sia possibile presentare un caso alla direzione in cui il reclamo è infondato e pertanto non richiede alcuna modifica. Ovviamente quanto bene questo dipende spesso da chi fa schifo a chi nella tua particolare organizzazione.

John Gardeniers
fonte
0

Se qualcuno ha davvero bisogno dei diritti di amministratore sul proprio computer locale, sarei tentato di configurare qualcosa come Virtual Box / Vmware Player come sandbox. Consenti loro di fare tutto ciò che vogliono all'interno della loro sandbox e sul sistema operativo host verranno bloccati come qualsiasi altra macchina.

Le specifiche dipenderebbero molto dalle aspettative per il sistema particolare.

  • L'utente (e i suoi gestori) è disposto a renderlo responsabile dei backup?
  • L'utente sarà in grado di accettare che se qualcosa non può essere risolto rapidamente perché lo ha confuso che si aprirà su un disco e lo formatterà immediatamente?
  • L'utente e il gestore sono pronti ad assumersi la responsabilità per eventuali problemi legali derivanti da software senza licenza, violazioni della sicurezza, danni ad altri sistemi sulla rete?
Zoredache
fonte
Supponendo che la VM non fosse connessa alla rete, sarebbe più semplice scollegare il cavo di rete. Altrimenti, tutti i rischi sono ancora lì.
Joe Internet
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.